[FUG-BR] Converter regra IPTABLES x PF (ou IPFW)

[Renato Frederick]

Com o snort você ativa o snortsam e aplica o patch.

Daí tudo que o snortsam achar na regra especifica que você alterar(você
adiciona no rules/nome_da_regra uma flag pra o snortsam analisar), ele cria
uma table.

Assim, o snortsam coloca na table 1 e 2(por exemplo), tudo que for detectado
na entrada e saída da rule que você mandar.

Aí você poe no ipfw uma regra:

Ipfw add 1 deny all from table(1) to any via interface_interna
Ipfw add 2 deny all from any to table(2) via interface_externa.

Com isso você pode mandar o snortsam pegar skype,msn,kazaa,vulnerabilidades
do IIS, etc etc, tudo que as assinaturas dele pega :)

Esta opção do divert é mais simples ainda, mas não testei.

Inté


> -----Original Message-----
> From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> Behalf Of Welkson Renny de Medeiros
> Sent: quarta-feira, 27 de dezembro de 2006 15:53
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
> 
> Como falei, pode ter sido "ignorância" minha... mas o que eu quis dizer
> é
> que nunca vi a tal "rule" que pelo menos detecta o skype... porque se
> detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec,
> ele
> analisa as regras do snort e já inclui o ip do possível atacante no
> firewall
> (ipfw)...
> 
>